Squid não solicitando autenticação

diegobnx
(usa Debian)

Enviado em 12/01/2012 - 21:16h

desculpe descordar de ti mas o que torna o proxy transparente seria:

http_port 3128 transparent

a regra que sitei apenas redireciona o que chegar na porta 80 para porta 3128 (que é a porta do proxy) e nada disso interfere na maneira do proxy trabalhar se vai ser transparente ou não, na minha opnião apenas reforça.

phrich
(usa Slackware)

Enviado em 12/01/2012 - 23:20h

Sim, a linha acima torna o squid transparente, mas para o squid, se vc apenas adicionar esta linha no seu squid.conf ele não fica transparente...

O certo para os "espertinhos" não burlarem a segurança é vc ter as polítcas padrões do iptables como DROP, assim mesmo que o usuário remova as confs de proxy no navegador ele não vai conseguir navegar, a não ser que vc libere as portas 80 e 443 na chain FORWARD no firewall...

Então se vc adicionar esta linha ao seu iptables, não vai adiantar de nada, pelo contrário, talvez atrapalhe e muito...

digo_pk
(usa Red Hat)

Enviado em 02/02/2012 - 17:43h

Pessoal ainda estou com o meu problema quando abro o browser da pagina não pode ser exibida

Segue algumas informações atualizadas sobre o servidor

eth0 = rede interna
eth1 = internet

Squid.conf

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 20000 16 256
cache_access_log /var/log/squid3/access.log
visible_hostname Proxy
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
auth_param basic realm DIGITE SEU USUARIO E SENHA
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
acl all src
acl autenticados proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 995
acl Safe_ports port 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 4443
acl purge method PURGE
acl CONNECT method CONNECT
acl usuarios_livres proxy_auth "/etc/squid3/nivel1"
acl usuarios_bloq proxy_auth "/etc/squid3/nivel2"
acl livre url_regex -i "/etc/squid3/livre"
acl bloq url_regex -i "/etc/squid3/bloq"
acl negra dstdom_regex -i "/etc/squid3/negra"
#http_access deny !autenticados
http_access allow manager localhost
http_access deny manager
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow purge localhost
http_access deny purge
http_access allow localhost
http_access allow usuarios_livres
http_access allow usuarios_bloq
http_access allow livre
http_access deny usuarios_bloq !bloq
http_access deny negra
http_access allow usuarios_bloq livre
http_access allow autenticados
http_access deny all
error_directory /usr/share/squid3/errors/Portuguese
cache_mgr nome@empresa.com.br
 

Firewall

root@Saturno:~# cat firewall
#!/usr/bin/env bash

echo "1" > /proc/sys/net/ipv4/ip_forward
#ativa roteamento

iptables -F
iptables -t nat -F
iptables -t mangle -F
#limpa regras do firewall

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#ativa o compartilhamento da internet

#iptables -P FORWARD DROP
#nao deixa passar informacoes entre a rede e a internet isolando-as

iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
#libera acesso ao dns

iptables -A FORWARD -p tcp --sport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 210 -j ACCEPT
iptables -A FORWARD -p tcp --dport 210 -j ACCEPT
iptables -A FORWARD -p tcp --sport 995 -j ACCEPT
iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
root@Saturno:~#
 

root@Saturno:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:210
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:210
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@Saturno:~# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@Saturno:~#
 

phrich
(usa Slackware)

Enviado em 03/02/2012 - 09:45h

É amigão, seu tópico já está gigante e antigo.

Na sua cidade não tem ninguém que possa lhe ajudar?

andrecanhadas
(usa Debian)

Enviado em 03/02/2012 - 16:26h

Cara pelo que vi esta tudo OK com o squid

O que pode estar acontecendo e algo com o DNS

coloque isto no seu /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Se não resolver coloca isto no seu squid.conf

dns_nameservers 8.8.8.8
dns_nameservers 8.8.8.4

Depois da um reload no squid

squid3 -k reconfigure

andrecanhadas
(usa Debian)

Enviado em 03/02/2012 - 16:27h

Acho que este esta em segundo lugar em 2012 teve um sobre iptables que chegou a 114 se não me engano rsrsr

digo_pk
(usa Red Hat)

Enviado em 07/02/2012 - 09:57h

fiz as duas coisas e continua da mesma maneira... dando pagina não pode ser exibida

andrecanhadas
(usa Debian)

Enviado em 07/02/2012 - 10:36h

Cara vc esqueceu de liberar o forward na porta 80:

iptables -A FORWARD -p tcp --sport 80 -j ACCEPT

digo_pk
(usa Red Hat)

Enviado em 07/02/2012 - 11:15h

Meu iptables ta assim agora

#--------------------INPUT-------------------------------
-A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -s 192.168.0.1 --sport 53 -d 187.37.152.2 -j ACCEPT
#-A INPUT -p udp -s 201.6.0.108 --sport 53 -d 187.37.152.2 -j ACCEPT
-A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
-A INPUT -i eth1 -f -j DROP
-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
-A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
-A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
-A INPUT -p icmp --icmp-type 0 -j ACCEPT
-A INPUT -p TCP -i eth0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
-A INPUT -p TCP -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT
-A INPUT -p TCP --dport 22 -j ACCEPT
-A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT
-A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT
-A INPUT -p TCP -i eth1 --sport 20 -j ACCEPT
-A INPUT -p UDP -i eth1 --sport 21 -j ACCEPT
-A INPUT -p TCP --dport 3128 -j REJECT --reject-with tcp-reset
-A INPUT -j LOG --log-prefix "Pacote INPUT descartado: "
-A INPUT -j DROP
#--------------------------------------------------------
#--------------------FORWARD-----------------------------
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A FORWARD -p udp -s 192.168.0.0/24 -d 201.6.0.112 --dport 53 -j ACCEPT
-A FORWARD -p udp -s 192.168.0.0/24 -d 192.168.0.1 --dport 53 -j ACCEPT
#-A FORWARD -p udp -s 201.6.0.112 --sport 53 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -p udp -s 192.168.0.1 --sport 53 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -p TCP -s 192.168.0.0/24 --dport 25 -j ACCEPT
-A FORWARD -p TCP -s 192.168.0.0/24 --dport 110 -j ACCEPT
-A FORWARD -p TCP -s 192.168.0.0/24 --dport 995 -j ACCEPT
-A FORWARD -p TCP -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -p tcp --sport 25 -j ACCEPT
-A FORWARD -p tcp --sport 110 -j ACCEPT
-A FORWARD -p tcp --sport 995 -j ACCEPT
-A FORWARD -p tcp --sport 587 -j ACCEPT
-A FORWARD -p tcp --dport 587 -j ACCEPT
-A FORWARD -p tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp --dport 21 -j ACCEPT
-A FORWARD -p udp --dport 21 -j ACCEPT
-A FORWARD -p tcp --sport 20 -j ACCEPT
-A FORWARD -p tcp --dport 20 -j ACCEPT
-A FORWARD -p udp --dport 20 -j ACCEPT
-A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "
-A FORWARD -j DROP
COMMIT
 

root@Saturno:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  127.0.0.1            0.0.0.0/0
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     udp  --  192.168.0.1          187.37.152.2        udp spt:53
LOG        all  -f  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Pacote INPUT fragmentado: '
DROP       all  -f  0.0.0.0/0            0.0.0.0/0
DROP       all  --  10.0.0.0/8           0.0.0.0/0
DROP       all  --  172.16.0.0/12        0.0.0.0/0
DROP       all  --  224.0.0.0/4          0.0.0.0/0
DROP       all  --  240.0.0.0/5          0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0
ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:3128
ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:21
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3128 reject-with tcp-reset
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Pacote INPUT descartado: '
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     udp  --  192.168.0.0/24       192.168.0.1         udp dpt:53
ACCEPT     udp  --  192.168.0.1          192.168.0.0/24      udp spt:53
ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:110
ACCEPT     tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:995
ACCEPT     tcp  --  192.168.0.0/24       192.168.0.0/24
ACCEPT     udp  --  192.168.0.0/24       192.168.0.0/24
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:587
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:587
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:20
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Pacote FORWARD descartado: '
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@Saturno:~#
 

andrecanhadas
(usa Debian)

Enviado em 07/02/2012 - 11:32h

Pelo que vi agora só falta desviar a porta 80 para o squid para evitar navegação sem proxy:


/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth0=Redelocal

e veja se navega:

digo_pk
(usa Red Hat)

Enviado em 08/02/2012 - 09:24h

Uma coisa que eu não comentei aqui é que meu server não ta ligado diretamente na internet, ele ta ligado em um d-link... pelos meus conhecimentos isso não faria diferença. Se alguém ai souber de algum problema que isso cause me avise por favor